BS7799系列講座之一：HTP模型圖及構(gòu)建

在我們看來(lái)，信息像其它重要的商務(wù)資產(chǎn)一樣，也是一種資產(chǎn)，對(duì)一個(gè)組織而言具有價(jià)值，因而需要妥善保護(hù)。信息安全使信息避免一系列威脅，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取投資和業(yè)務(wù)的回報(bào)。

　　BS7799為保障信息的機(jī)密性、完整性和可用性提供了典范。BS7799是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institution,簡(jiǎn)稱BSI）制定的信息安全管理體系標(biāo)準(zhǔn)。它包括兩部分，其第一部分《信息安全管理實(shí)施規(guī)則》于2000年12月被國(guó)際化標(biāo)準(zhǔn)組織（ISO）納入世界標(biāo)準(zhǔn)，編號(hào)為ISO/IEC 17799。BS7799廣泛地涵蓋了所有的信息安全議題，如安全方針的制定、安全責(zé)任的歸屬、風(fēng)險(xiǎn)的評(píng)估、定義與強(qiáng)化安全參數(shù)及訪問(wèn)控制，甚至包含防病毒的相關(guān)策略等。BS-7799已經(jīng)成為國(guó)際公認(rèn)的信息安全實(shí)施標(biāo)準(zhǔn)，適用于各種產(chǎn)業(yè)與組織。

　　近日，我刊主辦了BS7799的系列培訓(xùn)，內(nèi)容涵蓋了從具體的安全解決方案如設(shè)計(jì)和實(shí)施信息安全管理規(guī)劃，安全架構(gòu)搭建，ISO 17799的審核到IT總體規(guī)劃的各個(gè)方面。講座受到了廣大行業(yè)和企業(yè)用戶的歡迎。

　　為了更系統(tǒng)、更全面、更準(zhǔn)確地將BS7799的知識(shí)介紹給更廣大的讀者，從本期開始，我們將配合培訓(xùn)組織系列講座。該講座將對(duì)組織信息安全的需求和ISO/IEC 17799國(guó)際標(biāo)準(zhǔn)進(jìn)行探討，并講解BS7799-2：2002對(duì)信息安全管理體系的要求。同時(shí)探討信息安全的控制方法和風(fēng)險(xiǎn)評(píng)估及信息安全管理體系內(nèi)部審核的基本概念、審核流程、體系的概念及審核重要進(jìn)行的主要活動(dòng)和審核技巧等等。

　　組織為達(dá)到保護(hù)信息資產(chǎn)的目的，應(yīng)在“以人為本”的基礎(chǔ)上，充分利用現(xiàn)有的ISO13335、BS7799、CoBIT、ITIL等信息系統(tǒng)管理服務(wù)標(biāo)準(zhǔn)與最佳實(shí)踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。

　　從宏觀的角度來(lái)看，我們認(rèn)為信息安全可以由HTP模型來(lái)描述：人員與管理、技術(shù)與產(chǎn)品、流程與體系。

　　在充分理解組織業(yè)務(wù)目標(biāo)、組織文件及信息安全的條件下，通過(guò)ISO13335的風(fēng)險(xiǎn)分析的方法，通過(guò)建立組織的信息安全基線,可以對(duì)組織的安全的現(xiàn)狀有一個(gè)清晰的了解，并可以為以后進(jìn)行安全控制績(jī)效分析提供評(píng)價(jià)基礎(chǔ)。

　　長(zhǎng)期以來(lái)，由于媒體報(bào)道的側(cè)重點(diǎn)以及生產(chǎn)商的廣告宣傳等多種因素的影響，國(guó)內(nèi)公眾對(duì)安全的認(rèn)識(shí)被廣泛誤導(dǎo)。有相當(dāng)一部分人認(rèn)為，黑客和病毒就已經(jīng)涵蓋了信息安全的一切威脅，似乎信息安全工作就是完全在與黑客與病毒打交道，全面系統(tǒng)的安全解決方案就是部署反病毒軟件、防火墻、入侵檢測(cè)系統(tǒng)。這種偏面的看法對(duì)一個(gè)組織實(shí)施有效的信息安全保護(hù)帶來(lái)了不良影響。

　　目前，各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息安全管理的體系標(biāo)準(zhǔn)。這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息安全的各個(gè)角度和整個(gè)生命周期來(lái)考察，現(xiàn)有的信息安全管理體系與標(biāo)準(zhǔn)是不夠完備的，特別是忽略了組織中最活躍的因素—人的作用?？疾靽?guó)內(nèi)外的各種信息安全事件，不難發(fā)現(xiàn)，在信息安全事件表象后面，其實(shí)都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復(fù)雜的組織信息系統(tǒng)安全性的。

　　因此，組織為達(dá)到保護(hù)信息資產(chǎn)的目的，應(yīng)在“以人為本”的基礎(chǔ)上，充分利用現(xiàn)有的ISO13335、BS7799、CoBIT、ITIL等信息系統(tǒng)管理服務(wù)標(biāo)準(zhǔn)與最佳實(shí)踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。

　　什么是HTP模型

　　信息安全的建設(shè)是一個(gè)系統(tǒng)工程，它需求對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架，并要時(shí)時(shí)兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會(huì)對(duì)系統(tǒng)構(gòu)成威脅。在這里可以引用管理學(xué)上的木桶原理加以說(shuō)明。木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長(zhǎng)短不一，那么木桶的最大容量不取決于長(zhǎng)的木板，而取決于最短的那塊木板。這個(gè)原理同樣適用信息安全。

　　一個(gè)組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。信息從產(chǎn)生到銷毀的生命周期過(guò)程中，包括了產(chǎn)生、收集、加工、交換、存儲(chǔ)、檢索、存檔、銷毀等多個(gè)事件，表現(xiàn)形式和載體會(huì)發(fā)生各種變化，這些環(huán)節(jié)中的任何一個(gè)都可能影響整體信息安全水平。要實(shí)現(xiàn)信息安全目標(biāo)，一個(gè)組織必須使構(gòu)成安全防范體系這只“木桶”的所有木板都要達(dá)到一定的長(zhǎng)度。從宏觀的角度來(lái)看，我們認(rèn)為信息安全可以用HTP模型（模型圖見(jiàn)下頁(yè)）來(lái)描述：人員與管理(Human and management)、技術(shù)與產(chǎn)品(Technology and products)、流程與體系(Process and Framework)。

　　

　　其中人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。人特別是內(nèi)部員工既可以是對(duì)信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。統(tǒng)計(jì)結(jié)果表明，在所有的信息安全事故中，只有30%是由于黑客入侵或其他外部原因造成得，70%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來(lái)看信息和網(wǎng)絡(luò)安全的全貌，就會(huì)發(fā)現(xiàn)安全問(wèn)題實(shí)際上都是人的問(wèn)題，單憑技術(shù)是無(wú)法實(shí)現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。以往的各種安全模型，其最大的缺陷是忽略了對(duì)人的因素的考慮，在信息安全問(wèn)題上，要以人為本，人的因素比信息安全技術(shù)和產(chǎn)品的因素更重要。與人相關(guān)的安全問(wèn)題涉及面很廣，從國(guó)家的角度考慮有法律、法規(guī)、政策問(wèn)題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)持續(xù)性管理等問(wèn)題；從個(gè)人角度來(lái)看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問(wèn)題。

　　在信息安全的技術(shù)防范措施上，可以綜合采用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)安全，但不應(yīng)把部署所有安全產(chǎn)品與技術(shù)和追求信息安全的零風(fēng)險(xiǎn)為目標(biāo)。安全成本太高，安全也就失去其意義。組織實(shí)現(xiàn)信息安全應(yīng)采用“適度防范”(Rightsizing)的原則，就是在風(fēng)險(xiǎn)評(píng)估的前提下，引入恰當(dāng)?shù)目刂拼胧?，使組織的風(fēng)險(xiǎn)降到可以接受的水平，保證組織的業(yè)務(wù)的連續(xù)性和商業(yè)價(jià)值最大化就達(dá)到了安全的目的。

　　信息安全不是一個(gè)孤立靜止的概念，信息安全是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的過(guò)程。一方面，如果組織憑借一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，難免存在掛一漏萬(wàn)、顧此失彼的問(wèn)題，使得信息安全這只“木桶”出現(xiàn)若干“短木塊”，從而無(wú)法提高安全水平。 正確的做法是遵循國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實(shí)踐過(guò)程，考慮組織對(duì)信息安全的各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的基本上引入恰當(dāng)控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性；另一方面，這個(gè)安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變。因此實(shí)現(xiàn)信息安全是一個(gè)需要完整的體系來(lái)保證的持續(xù)過(guò)程。

　　根據(jù)國(guó)內(nèi)信息安全建設(shè)的現(xiàn)狀與特點(diǎn)并結(jié)合信息安全國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及通用最佳實(shí)踐，并考慮實(shí)用性與易用性，提出以下實(shí)現(xiàn)信息的方法論及具體步驟。

　　信息安全的方法論：根據(jù)自頂向下，逐步求精的原則，根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，先建立并運(yùn)行信息安全框架，初步達(dá)到粗粒度的信息安全；在完整的信息安全框架之上，建立“人力防火墻”與“技術(shù)防火墻”,在細(xì)粒度上保證信息安全；實(shí)施階段性的信息系統(tǒng)審計(jì)，在持續(xù)不斷的改進(jìn)過(guò)程中保證信息的安全性、完整性、可用性，從而建立一套完整的信息安全管理體系。

　　

　　建立HTP的步驟

　?。ㄒ唬┰诔浞掷斫饨M織業(yè)務(wù)目標(biāo)、組織文件及信息安全的條件下，通過(guò)ISO13335的風(fēng)險(xiǎn)分析的方法，通過(guò)建立組織的信息安全基線(Security Baseline),可以對(duì)組織的安全的現(xiàn)狀有一個(gè)清晰的了解，并可以為以后進(jìn)行安全控制績(jī)效分析提供一個(gè)評(píng)價(jià)基礎(chǔ)。

　　1．理解組織業(yè)務(wù)與組織文化

　　充分了解組織業(yè)務(wù)是設(shè)計(jì)安全方案的前提，只有了解組織業(yè)務(wù)，才能發(fā)現(xiàn)并分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出可能的安全保障措施；只有了解組織業(yè)務(wù)，才可能定義出合理的安全投資規(guī)模和計(jì)劃；只有了解組織業(yè)務(wù)，才能制定出合理的安全政策和制度。

　　對(duì)組織業(yè)務(wù)的了解，包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中，業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來(lái)，它包括信息/數(shù)據(jù)、軟/硬件、無(wú)形資產(chǎn)、人員及其能力等。安全風(fēng)險(xiǎn)管理理論認(rèn)為，對(duì)業(yè)務(wù)資產(chǎn)的適度保護(hù)對(duì)業(yè)務(wù)的成功至關(guān)重要。要實(shí)現(xiàn)對(duì)業(yè)務(wù)資產(chǎn)的有效保護(hù)，必須要對(duì)資產(chǎn)有很清晰的了解。

　　對(duì)組織文化及員工狀況的了解有助于知道組織中員工的安全意識(shí)、心理狀況和行為狀況，為制定合理的安全政策打下基礎(chǔ)。

　　2．評(píng)估用戶組織風(fēng)險(xiǎn)環(huán)境

　　ISO/IEC TR 13335-1把風(fēng)險(xiǎn)的定義為特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性評(píng)估，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具、包括定性與定量的方法，確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序。

　　

　　

　　通過(guò)風(fēng)險(xiǎn)評(píng)估，上圖中位于“主要高商業(yè)風(fēng)險(xiǎn)”區(qū)域的風(fēng)險(xiǎn)對(duì)組織的安全水平有著顯著的影響，是應(yīng)主要加以控制的風(fēng)險(xiǎn)；位于“高可能性”和“高影響”區(qū)域的風(fēng)險(xiǎn)要根據(jù)組織的接受風(fēng)險(xiǎn)的能力，可適當(dāng)加以控制；位于“低風(fēng)險(xiǎn)”區(qū)域的風(fēng)險(xiǎn)只要是處于組織可以接受的水平，一般可以忽略。

　　3．準(zhǔn)備安全基線分析報(bào)告

　　通過(guò)對(duì)組織業(yè)務(wù)特征、組織文化、安全意識(shí)、人員狀況及信息風(fēng)險(xiǎn)評(píng)估的綜合分析，詳細(xì)描述當(dāng)前組織的信息安全狀況，為進(jìn)一步制定信息安全投資預(yù)算計(jì)劃、信息安全投資回報(bào)分析、人員組織計(jì)劃、建立安全體系、制定安全政策、引入安全控制措施而提供基礎(chǔ)數(shù)據(jù)、輔助最高管理層對(duì)信息安全管理的計(jì)劃與實(shí)踐做出正確決策。

本頁(yè)關(guān)鍵詞：BS7799系列講座之一：HTP模型圖及構(gòu)建